计算机网络风险及安全策略.docVIP

计算机网络风险及安全策略【摘要】随着计算机网络的广泛使用，全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、恶意软件和其他不轨的攻击。因此，认清网络的脆弱性和潜在威胁的严重性，采取强有力安全策略势在必行。本文简述了计算机网络所面临的风险，并根据计算机网络风险分析应采取的安全策略。 【关键词】计算机；网络安全；安全策略 【作者简介】王勇平（1979－ ），男，大学文化，工程师，黎明化工研究院从事计算机信息安全管理工作。 一、计算机网络面临的风险 计算机网络由多种设备、设施构成，因为种种原因，其面临的威胁是多方面的。总体而言，这些威胁可以归结为3大类，一是对网络设备的威胁，二是在网络中对业务处理过程的威胁，三是对网络中数据的威胁。因为计算机网络与人们的现实经济生活关系日益密切，影响计算机网络的因素也很多，有些因素可能是有意的，也可能是无意的；可能是人为的，可能是非人为的，这些威胁，或早或晚、或大或小，都会转化为对人们现实经济生活的威胁。 二、常用的网络安全技术防护措施 1.防火墙技术 防火墙技术构建安全网络体系的基本组件，通过计算机硬件和软件的组合来建立起一个安全网关，实现了被保护对象和外部系统之间的逻辑隔离，从而保护内部网络免受非法用户的入侵。防火墙的组成可以表示为：防火墙= 过滤器+安全策略+网关，它是一种非常有效的网络安全技术之一。在Internet上，通过它来隔离风险区域与安全区域的连接，但不防碍人们对风险区域的访问。防火墙可以监控进出网络的通信数据，从而完成仅让安全、核准的信息进入，同时又抵制对企业构成威胁的数据进入的任务。 2.网络加密技术 网络加密技术是网络安全最有效的技术之一。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一。网络信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密，端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全；端点加密的目的是对源端用户到目的端用户的数据提供加密保护；节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护。用户可根据网络情况选择上述三种加密方式。信息加密过程是由形形色色的加密算法来具体实施的，它以很小的代价提供很牢靠的安全保护。在多数情况下，信息加密是保证信息机密性的唯一方法。据不完全统计，到目前为止，已经公开发表的各种加密算法多达数百种。 如果按照收发双方的密钥是否相同来分类，可以将这些加密算法分为常规密码算法和公钥密码算法。在实际应用中，人们通常将常规密码和公钥密码结合在一起使用。如果按照每次加密所处理的比特来分类，可以将加密算法分为序列密码算法和分组密码算法，前者每次只加密一个比特。 3.身份验证技术身份验证技术 身份验证技术身份验证技术是用户向系统出示自己身份证明的过程。用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令，服务器将验证所输入的用户名是否合法。如果验证合法，才继续验证用户输入的口令，否则，用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性，用户口令不能显示在显示屏上，口令长度应不少于6个字符，口令字符最好是数字、字母和其他字符的混合，用户口令必须经过加密，加密的方法很多，其中最常见的方法有：基于单向函数的口令加密，基于测试模式的口令加密，基于公钥加密方案的口令加密，基于平方剩余的口令加密，基于多项式共享的口令加密，基于数字签名方案的口令加密等。经过上述方法加密的口令，即使是系统管理员也难以得到它。用户还可采用一次性用户口令，也可用便携式验证器（如智能卡）来验证用户的身份。 网络管理员应该可以控制和限制普通用户的帐号使用、访问网络的时间、方式。用户名或用户帐号是所有计算机系统中最基本的安全形式。用户帐号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的”证件”、用户可以修改自己的口令，但系统管理员应该可以控制口令的以下几个方面的限制：最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。 用户名和口令验证有效之后，再进一步履行用户帐号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时，网络还应能对用户的帐号加以限制，用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确，则认为是非法用户的入侵，应给出报警信息。 4.网络监控技术 网络管理员对计算机网络实施监控，服务器记录用户对网络资